Mais au juste, qu’est-ce que la norme ISO 27701 ?

L’International Standard Organisation (ISO) a publié en août 2019 sa norme 27701 qui est une extension de l’ISO 27001 et a vocation à venir spécifier et définir les processus, les objectifs et les mesures à mettre en œuvre pour la protection des données personnelles et de la vie privée.

Créer et faire vivre un Système de Management de la Protection de la Vie Privée

A l’instar de la norme ISO 27001 (la référence en ce qui concerne la sécurité informatique), qui a pour but de créer un Système de Management de la Sécurité de l’Information (SMSI), son extension 27701 aspire à créer un Système de Management de la Protection de la Vie privée (Privacy Information Management System – PIMS en anglais).

Pour ce faire, la norme amende et complète les processus, les exigences et les mesures de sécurité de la 27001 et de la 27002 avec des préconisations spécifiques au traitement de données à caractère personnel.

Mais elle ne se contente pas d’étoffer la 27001 et la 27002 et vient également ajouter des exigences nouvelles spécifiques bien connues des acteurs de la Privacy (gestion du consentement, transparence, minimisation…).

Dans ce contexte, l’obtention d’une certification ISO 27001 est un préalable à une certification 27701.

Ce paramètre rétrécit mécaniquement les candidats potentiels à une certification, et rend l’effort à fournir plus conséquent : revue des documents existants, collaboration nécessaire entre les équipes initiales du SMSI et les nouveaux acteurs du PIMS, etc.

Malgré cet effort, l’application de ce standard offre une excellente opportunité pour les organisations d’entremêler davantage les processus et les équipes relatifs à la cybersécurité et la Privacy (par exemple : lier les processus d’Intégration de la Sécurité dans les Projets et le Privacy by Design).

La certification ISO 27701 n’est pas synonyme de conformité au RGPD…

Il est important de noter qu’une certification à la norme n’est pas synonyme à une conformité au RGPD, la vocation principale de la norme étant d’établir à l’échelle mondiale des principes et des règles autour de la Privacy, et ce, dans un langage commun. Cela dit, il convient de rappeler que des autorités nationales (comme la CNIL) ont participé à l’élaboration de la norme et saluent sa publication.

Mais alors, quelles adhérences entre le contenu de la norme et le contenu du RGPD ?

En ce qui concerne les principes fondamentaux du RGPD (consentement, droits, licéité…), la nouvelle norme développe un ensemble d’exigences couvrant toutes les thématiques du RGDP. La norme se voulant internationale, elle demeure par nature moins précise que le RGPD sur certains thèmes (pas de précision du délai à respecter pour notifier l’autorité par exemple). Il est ainsi du ressort du PIMS de réaliser une analyse d’écarts afin de comprendre quels sont les ajustements à réaliser pour être en conformité avec les lois applicables.

Par ailleurs, en ce qui concerne la sécurité des données à caractère personnel, les adaptations des exigences de la 27001 et de la 27002 offrent un référentiel complet aux organisations pouvant servir de socle pour respecter l’article 32 du RGPD (dédié à la sécurité des données).

…mais elle peut devenir la marque de crédibilité la plus forte en la matière sur le marché.

L’enjeu principal d’une certification 27701 est de crédibiliser son système de management de la Privacy et donner confiance aux parties prenantes (partenaires commerciaux, clients, fournisseurs, salariés, autorités…) quant à la prise en compte des principes fondamentaux de la protection de la vie privée.

Le « tampon » 27701 pourrait devenir rapidement un gage de confiance connu et reconnu à l’échelle internationale. A l’instar de la norme ISO 27001, cette nouvelle norme 27701 pourrait devenir un critère incontournable dans les phases d’appel d’offres.

Dans cette perspective, Matthieu Grall de la Commission nationale de l’informatique et des libertés (CNIL) énonce qu’avec « (…) l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire. En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance. »

Concrètement, pour qui et pourquoi ?

La publication de cette norme représente une opportunité pour plusieurs types d’organisations :

• Dans une relation B2B : un gage de confiance fort vis-à-vis de ses partenaires commerciaux dans le cadre d’une collaboration induisant le traitement de données personnelles (une entreprise gérant la paie ou réalisant les opérations de communication ou de marketing pour le compte de grandes organisations par exemple).
• Dans une relation B2C : la certification d’un périmètre clé d’une entreprise traitant en masse les données personnelles de ses clients (un distributeur dans le cadre de son programme fidélité, un assureur dans le cadre ses activités contractuelles…) peut devenir à terme un vecteur de confiance significatif vis-à-vis des clients eux-mêmes mais aussi vis-à-vis des autorités.
• Au sein des entreprises : la norme représente un nouveau référentiel auquel les entreprises peuvent se confronter et dont elles peuvent se servir pour venir élaborer un cadre d’audit clair et partagé. Une certification ISO 27701 peut également représenter un moyen pour les DPO et les équipes Privacy de rendre tangible les efforts fournis auprès de leur top management.

Si des incertitudes demeurent sur son adoption massive (notamment liées à la barrière de la certification 27001), il ne fait nul doute qu’elle pourra rapidement s’imposer comme un gage de confiance ainsi que comme un nouveau référentiel d’audit et de contrôle interne.

Il en demeure que l’apparition de cette norme est un nouveau bond en avant en ce qui concerne la protection des données personnelles, et ce à l’échelle internationale.

Cet article ISO 27701 : un texte de conformité de plus ou le cadre international tant attendu pour la protection de la vie privée ? est apparu en premier sur RiskInsight.

Cette saga se propose de vous présenter dans un premier temps le véhicule connecté et les défis cybersécurité associés ; les principales sources de menace et les risques seront abordés lors d’une prochaine publication. Enfin, un troisième article vous présentera nos convictions et premiers éléments de réponse pour y faire face.

La voiture connectée : un objet au cœur d’interactions multiples

Divertissement, extension du smartphone, mobilité partagée, gestion de vie de la voiture … Les utilisateurs sont demandeurs de nouvelles expériences et ces services et applications engendrent de multiples interactions. On peut ainsi imaginer une voiture communicante capable de trouver une place de parking libre, planifier automatiquement un rendez-vous pour sa maintenance ou déclencher un feu au vert à son passage. Depuis le 1^er avril 2018, tous les nouveaux modèles de véhicules doivent d’ailleurs posséder un système d’appel d’urgence et de géolocalisation pour contacter les secours en cas d’accident. A ce titre, ils sont déjà « connectés ».

Les constructeurs et autres acteurs se saisissent déjà de cette opportunité de maintenir une relation étroite avec les clients tout au long du cycle de vie du véhicule. Ils deviennent ainsi des « fournisseurs de services et de solutions mobilités », s’appuyant entre autres sur les données collectées. D’autant plus que cette connectivité constitue une étape vers l’autonomie, le véhicule ayant besoin de pouvoir communiquer avec ses homologues et avec l’environnement. Le mouvement est en marche et va s’amplifier progressivement.

Cependant, le constat est aujourd’hui sans appel : la problématique de cybersécurité n’est pas ou peu prise en compte, alors qu’elle doit être partie intégrante de la solution connectée, dès sa phase conception et jusqu’à la fin du cycle de vie. Cette réflexion est essentielle pour réussir à préserver l’intégrité du véhicule, la vie des passagers et respecter les réglementations en vigueur et à venir.

Le premier prérequis consiste à correctement appréhender les technologies et l’écosystème du véhicule connecté.

Comment le véhicule interagit-il avec son environnement ?

Un véhicule connecté est un véhicule qui possède la particularité d’être en interaction avec son écosystème, à courte ou à longue portée, via des flux de données mobiles.

• Connexion courte portée: Le véhicule interagit directement avec un objet (smartphone, infrastructure, etc.), sans intermédiaire. Il utilise des technologies avec un rayon d’action limité (WAVE, Wifi on board, bluetooth, etc.) avec des échanges en local.
• Connexion longue portée: Le véhicule utilise un accès distant pour interagir avec des éléments externes via une plateforme cloud. Les connections 4G et bientôt 5G sont les technologies de prédilection pour raccorder le véhicule à internet.

Ce concept de véhicule connecté englobe également les échanges avec l’environnement direct du véhicule sous le terme de «Vehicle-To-Everything » (ou V2X). Enfin, la norme ISO 20077 décrit l’« Extended Vehicle » (ou ExVe) comme étant un ensemble composé du véhicule physique ainsi que toutes les plateformes et infrastructures qui sont sous la responsabilité du constructeur automobile.

De nombreux écosystèmes et acteurs devront cohabiter

La voiture était autrefois un système très fermé ; à l’exception d’une prise diagnostique pour les garagistes et d’un peu de connectivité pour diffuser du contenu multimédia, le risque était jusque-là contenu. Aujourd’hui, la multiplication des éléments de connectivité et l’accès à internet ouvrent de nouvelles opportunités pour les constructeurs et fournisseurs de services, mais aussi pour une personne malveillante.

Le premier écosystème à considérer est celui du véhicule embarqué. Les systèmes électroniques et de communication doivent pouvoir communiquer entre eux sans que les données transmises ou les secrets stockés ne soient altérés ou dérobés. Parmi ces systèmes, on retrouve les ECU, ces mini « ordinateurs embarqués » qui pilotent des fonctions clés du véhicule telles que le système de freinage, la climatisation, l’éclairage, etc.

Au-delà de la sécurité embarquée, on retrouve les utilisateurs et le propriétaire (qui n’est pas forcément un particulier) bénéficiant de droits afin de donner des ordres au véhicule selon les règles prédéfinies. Dans le futur, leur authentification sera certainement primordiale pour des questions de responsabilités ainsi que la vérification de la légitimité des ordres qu’ils émettent.

Un autre aspect très important concerne les services connectés qui utilisent des plateformes centralisées, voire dans le cloud, mises en œuvre par les constructeurs ou par des partenaires. Ces plateformes représentent une menace importante car elles peuvent déclencher des commandes sur une flotte entière de véhicules, et donc avoir un impact démultiplié. Les constructeurs devront mettre en place des solutions sécurisées adéquates pour autoriser ces services, en combinant leur propre plateforme, celle des partenaires et les API sur le véhicule, et s’assurer du niveau de confiance de l’environnement.

Enfin, à moyen terme, les objets extérieurs et l’environnement proche (autres véhicules, garage, parking, infrastructure routière, etc.) devront communiquer et partager des informations. Les enjeux de sécurisation en temps réel (disponibilité, intégrité, etc.) seront alors des challenges complexes à relever.

Des enjeux cybersécurité : du monde virtuel à la réalité

La sécurité des hommes à l’intérieur et à l’extérieur du véhicule est une préoccupation de tout premier plan pour le secteur automobile. Il serait donc logique de penser que les problématiques de cybersécurité soulevées par le véhicule connecté seront traitées avec la même rigueur, dans le but de garantir les fonctions de safety et d’intégrité de la voiture.

Le premier enjeu est un défi organisationnel à relever pour tous les acteurs et notamment les constructeurs, car l’avènement de ce nouveau modèle provoque la réunion de deux mondes opposés : d’un côté, celui des services et de l’autre celui de l’ingénierie. Le premier est tout en agilité et rapidité, avec de très nombreux projets à court terme. Le second, avec un cycle de développement plus long, doit répondre à des exigences en matière de safety et de qualité afin de permettre l’homologation du véhicule. Cette dichotomie a des impacts sur la cybersécurité et notamment son intégration dans les projets, ou encore la couverture du risque end-to-end. Par exemple, le backend devient, de par sa position, un point névralgique à sanctuariser pour éviter tout risque d’attaque systémique avec des répercussions sur l’ensemble de la flotte. Malheureusement sa sécurité n’est aujourd’hui pas appréciée à sa juste valeur, principalement pour des exigences de time-to-market très court.

En ce qui concerne les autres enjeux, force est de constater que les thématiques de cybersécurité pour le véhicule connecté ne diffèrent pas beaucoup de celles que l’on connait dans le monde SI : gestion des identités et des accès, détection et réponse, sécurité des infrastructures, cryptographie, gestion des parties tierces ou encore patch management… Un véhicule connecté est un SI « mobile », et les différentes normes de sécurité (ISO2700x, NIST 800, etc.) sont déjà déclinées sous forme de bonnes pratiques dans différents guides et référentiels (SAE J3061, AUTOISAC, NHST, etc.) et seront prochainement l’objet de la norme ISO/SAE 21434.
Cependant, un certain nombre de contraintes inhérentes au véhicule et aux systèmes embarqués impliquent de considérer ces sujets sous des angles spécifiques et originaux.

La mobilité et la connectivité du véhicule complexifient sa sécurisation : il faut prévoir la sécurité dans un contexte de connexion limité ou inexistante, avec un environnement changeant. L’aspect réglementaire n’est pas en reste, le véhicule étant amené à se déplacer à l’international.

Le monde de l’embarqué pose également des restrictions sur le matériel, en termes de coût, de puissance de calcul et d’encombrement.

La question de la mise à jour des composants et des services se pose vis-à-vis d’un système devant fonctionner à tout moment mais pouvant aussi être arrêté sur de longues périodes.

Enfin, le véhicule est promis à un cycle de vie long, ce qui implique de penser dès le début sa sécurité notamment par rapport à la gestion des identités et des accès. Cette durée de vie impose aussi de réfléchir à des standards évolutifs dans le temps, ainsi qu’à un modèle de mises à jour garantissant la sécurisation du véhicule de manière durable et soutenable pour les constructeurs.

La route est longue et la cybersécurité s’invite à un carrefour où on ne l’attendait pas il y a une dizaine d’années encore. Il est urgent que chaque acteur réalise l’importance de l’effort demandé et commence à prendre le virage dès maintenant, avant qu’il ne soit trop tard.

Cet article Saga 1/3 : La voiture connectée, entre cybersécurité et safety est apparu en premier sur RiskInsight.

L’utilisation des standards d’interopérabilité constitue l’une des clés principales pour surmonter ces obstacles. Qu’y-a-t-il derrière  ces standards ? Quels dispositifs sont  mis en œuvre par les acteurs du transport ?

Les standards d’interopérabilité : des outils stratégiques au service des acteurs du transport

Les efforts de standardisation au niveau européen sont nombreux. Ces standards permettent de faciliter les échanges entre partenaires économiques (AOT, opérateurs de transports et acteurs tiers) et in fine de proposer aux voyageurs une information agrégée, tout au long de la chaîne du voyage et en temps réel.

• Il existe deux types de normes dans le domaine de l’information voyageur :
  • Les normes de mise en place du système d’information ;
  • Les normes d’échanges entre systèmes.

Les premières structurent les objets métier du domaine de l’information voyageur en modèles conceptuels de données (MCD). Ainsi, la norme européenne EN12896 Transmodel, dont les premiers travaux ont commencé en 1995, définit le modèle de données de référence de l’offre de transport public. Il permet ainsi de modéliser aussi bien la  topologie du réseau et les horaires planifiés que la  billettique et l’information tarifaire. La norme européenne IFOPT  enrichit quant à elle Transmodel en précisant le modèle de données des points d’arrêts du réseau de transport.

Les secondes formalisent les échanges de données entre systèmes : elles définissent les formats d’échange et reposent souvent sur les modèles de données issus des normes de mise en place du SI. C’est le cas de la norme européenne SIRI, basée sur le modèle Transmodel, qui définit l’échange de données d’IV temps réel. Les échanges de données théoriques entre transporteurs se basent sur la norme française NEPTUNE ou sur le standard européen NeTEx. Le développement de ces normes continue de se faire dans un souci de cohérence d’ensemble qui permet aujourd’hui de concevoir des systèmes d’Information voyageur complets.

Jusqu’à récemment, en l’absence de standard satisfaisant, le pragmatisme prévalait chez les transporteurs. C’est ainsi que des tentatives de rapprochement des informations théoriques et temps réel basées sur des interfaces spécifiques ont pu être menées localement et, bien souvent, à l’initiative des transporteurs afin de proposer une information continue aux usagers. Mais nos récents retours d’expérience montrent les limites de ces solutions en termes de pérennité et l’intérêt grandissant que les transporteurs et les autorités organisatrices portent aux standards au point de les mentionner directement dans les appels d’offres. Désormais, la mise en place de ces standards par les transporteurs devient  de plus en plus systématique. Ils sont notamment inscrits dans les cibles des cahiers des charges des nouveaux systèmes, au fur et à mesure que les anciens sont dé-commissionnés. Les SI actuels font souvent l’objet de refontes, qui constituent autant d’opportunités de normaliser les échanges, même au sein d’un même transporteur.

L’appropriation et l’application des normes demandent cependant aux parties intéressées des efforts conséquents en conception ou adaptation de leur SI. À cela s’ajoute l’effort nécessaire pour l’appropriation des normes qui n’a pas empêché les divergences d’interprétation entre les acteurs. Dans ce cadre, l’État, à travers l’AFIMB, joue un rôle de facilitateur en mettant à disposition des acteurs plusieurs outils leur permettant de se familiariser avec ces normes (Chouette pour la norme Neptune et NeTEx, Irys pour la norme SIRI). D’ici quelques années et avec la maturité des normes, les territoires devraient être équipés de SIM temps réel permettant de diffuser une IV agrégée et multimodale. Les transporteurs (et surtout les voyageurs !) devraient alors récolter les fruits de ces lourds investissements.

Finalement, quel apport des normes ?

Les normes permettent aux transporteurs de mettre leurs données temps réel à disposition, sous un même format et simplifie donc la consolidation de données en provenance de plusieurs transporteurs pour un même territoire.

Elles participent même directement à la mise en place de services Information voyageurs multi-transporteurs, multimodaux de manière transparente pour le voyageur. Et ces travaux ont lieu en ce moment même chez les transporteurs, avec des objectifs souvent dans les 3 ans. Bonne nouvelle pour l’Information voyageur et les usagers des transports !

Pour plus d’informations sur le sujet, consultez Transport Shaker, le blog transport des consultants Solucom

Cet article Standards d’interopérabilité dans les transports : la clé de l’information voyageur ? est apparu en premier sur RiskInsight.

 Pourtant, côté application mobiles, cette information est encore trop souvent incomplète. Et s’il est possible d’être informé des perturbations d’une ligne ou d’un transporteur particulier, le réseau d’un territoire se compose quant à lui d’une multitude de lignes, transports et transporteurs… Ainsi, dès qu’il effectue un trajet multimodal ou multi-transporteurs, le voyageur se voit contraint de télécharger plusieurs applications ! Et en cas de perturbation, c’est encore lui qui le plus souvent construit lui-même son nouvel itinéraire, alors que si les données étaient consolidées, les applications pourraient rendre ce service à forte valeur ajoutée.

Pourquoi est-ce si difficile de recevoir et d’accéder à une IV temps réel consolidée sur son territoire ? Est-ce mission impossible ?

Informations théoriques et informations temps réel : les deux visages de l’information voyageur

Il faut en effet distinguer les deux principales familles de l’Information voyageur.

D’un côté, il y a l’offre théorique avec les horaires planifiés, la topologie du réseau ainsi que les tarifs. Pour les usagers, ces données sont les plus accessibles car, du fait notamment de leur stabilité dans le temps, elles sont facilement intégrées dans les Systèmes d’Information Voyageur (SIV).

De l’autre côté, il y a l’information temps réel, le côté plus obscure. De ce côté on retrouve toutes les informations liées à l’exploitation du réseau de transport réalisé à travers les systèmes d’aide à l’exploitation (SAE), telles que les horaires de passage des véhicules aux arrêts, ou encore la gestion des incidents. À l’origine, cette information, associée au métier de l’exploitant, n’était pas destinée aux voyageurs. Malgré les tentatives de démocratisation des SAE-IV dont le périmètre de diffusion reste tout de même très localisé (bornes d’information voyageur, écrans publics, bandeaux lumineux et sonores dans les véhicules), cela continue de se traduire chez les opérateurs de transport par des systèmes d’information temps réel et théorique cloisonnés.

Ce cloisonnement entraîne bien souvent des incohérences. On peut le voir notamment lors de modifications du plan de transport qui sont répercutés en « théorique » mais pas en temps « réel » (ou inversement), ce qui dans le pire des cas conduit à une information fausse sur certains canaux.

Une multimodalité aggravante

Les modes de transports urbains et interurbains proposés sur un même territoire sont de plus en plus variés : train, métro, bus, tramway, trolleybus, etc.  Cette multimodalité cache également bien souvent une multiplicité de SIV voire de SAE (un système dédié au tram et un autre dédié aux bus au sein d’un même transporteur par exemple). Qui plus est, les opérateurs de transport ont également tendance à se multiplier plus qu’à se concentrer dans un même réseau.

Le cloisonnement historique des deux SI (temps réel et théorique) couplé à la démultiplication des opérateurs et des modes de transports rend complexe et coûteuse l’arrivée de nouvelles formes de services aux voyageurs agrégeant toutes les données de transport existantes sur un territoire pour apporter une réelle valeur ajoutée.

Néanmoins, ces freins ne paralysent pas totalement les acteurs des transports publics, à l’instar des plateformes régionales qui se développent sous l’impulsion des collectivités territoriales et des autorités organisatrices des transports. Ces « Systèmes d’information multimodale » (SIM) ont en effet pour but d’agréger les données provenant de plusieurs opérateurs en permettant ainsi de diffuser une information enrichie et cohérente sur l’ensemble du territoire.

La réussite de ces systèmes qui mobilisent l’ensemble des parties prenantes du secteur passe par la formalisation des données à échanger entre acteurs. Il y a ici deux possibilités : formaliser des échanges point à point spécifiques, ou bien se regrouper autour d’un standard commun. Étant donné l’effort nécessaire pour formaliser un domaine aussi complexe que l’Information voyageur, des standards d’interopérabilité ont rapidement été définis.

Aussi, on pourrait imaginer la solution du côté de la normalisation des échanges inter-systèmes, mais cela représente un chantier complexe impliquant des investissements importants de la part de tous les acteurs publics et privés du domaine. Les normes d’interopérabilité et leur implémentation feront l’objet d’une prochaine parution… l’affaire est donc à suivre !

Pour plus d’informations sur le sujet, consultez Transport Shaker, le blog transport des consultants Solucom

Cet article L’Information Voyageur : un enjeu de taille, des obstacles à franchir est apparu en premier sur RiskInsight.

Des évolutions de forme…

La norme se compose dorénavant de 14 chapitres contre 11 dans la version 2005. Les nouveaux chapitres intitulés « Cryptographie », « Relations avec les fournisseurs », « Sécurité des télécommunications » et « Sécurité de l’exploitation » sont issus d’un découpage des chapitres existants.

Les objectifs de sécurité passent de 39 à 35, ils sont formulés de manière plus synthétique, plus souple, augurant plus d’efficacité dans l’implémentation.

Certaines mesures de sécurité ont été modifiées ou supprimées, et finalement peu ont été ajoutées (6 seulement), ce qui diminue le nombre global (133 à 113 mesures).

… et des évolutions de fond

Trois sujets ont réellement fait l’objet d’évolutions structurantes.

Le chapitre « acquisition, développement et maintenance » a été revu en profondeur et prend maintenant en compte la sécurité applicative en incluant des mesures sur « System acceptance testing » (outil d’analyse de code, scanners de vulnérabilités), « System security testing during development », « Secure system engineering principles », « Outsourced developement »… Par ailleurs, les mesures deviennent plus générales, en supprimant l’objectif de sécurité sur « le bon fonctionnement des applications » (validation des données en entrée et en sortie, intégrité des messages, etc.). La gestion des données de tests est traitée dans ce chapitre.

Le chapitre “Information security aspects of business continuity management” traite maintenant de la continuité de la sécurité de l’information et non plus de la continuité business ! Ainsi, une note indique que les informations concernant le business continuity management sont disponibles dans les normes  ISO 22301, 27301, 22313. Seul un objectif de sécurité intitulé « redundancies » concerne la disponibilité des « information processing facilities ». Même si la norme réduit la portée de ces mesures, rien n’empêche de conserver les mesures « historiques » sur le PCA.

Le chapitre « contrôle d’accès » se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes : le contrôle d’accès réseau, le contrôle d’accès à l’OS, le télétravail ne font plus partie de ce chapitre. En particulier, les mesures portant sur le cycle de vie des habilitations ont été complétées : depuis l’enregistrement des utilisateurs jusqu’aux revues des droits et la suppression des droits en cas de départ. L’authentification par mot de passe a été élargie aux « secret authentication ». Un focus spécifique est maintenant fait sur l’accès au code source.

Concernant les autres chapitres de la norme, les évolutions sont moins notables. On peut relever les points suivants.

Le chapitre « gestion des incidents liés à la sécurité de l’information » est complété par quelques précisions : une phase de « assessment of and decision on information security events » permet de déterminer si les évènements sont considérés comme des incidents de sécurité et une phase de « response to information security incidents » décrit la gestion des incidents. La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents.

Le chapitre « sécurité du réseau » agrège maintenant toutes les mesures liées au réseau et reprend également celles issues du chapitre « gestion des télécommunications et de l’exploitation » (« gestion de la sécurité des réseaux » et « échange des informations ») et celles issues du chapitre « Contrôle d’accès » en ne conservant que le contrôle « cloisonnement des réseaux ».

Le chapitre « relation avec les fournisseurs » concentre tous les contrôles liés à la gestion des fournisseurs, en remplaçant la notion de « tiers » par « fournisseur ». Un nouveau contrôle est ajouté sur le report des mesures de sécurité sur la chaine de sous-traitance, tandis que le contrôle sur « l’identification des risques provenant des tiers » a été supprimé.

En synthèse, la version 2013 n’est pas révolutionnaire, mais les évolutions font apparaître plus de cohérence au sein des chapitres, ce qui rend la norme plus lisible pour les acteurs en charge de la mise en œuvre.

Qu’en est-il des sujets liés aux évolutions des usages et des technologies depuis 2005 ?

Certaines thématiques incontournables en termes de sécurité ne sont toujours pas traitées explicitement dans la norme :

• Des mesures basiques ne sont pas prises en compte, en particulier : le durcissement des postes de travail ou des serveurs, les réseaux sans fil, etc.

• Certaines règles restent trop macroscopiques pour réellement constituer de bonnes pratiques, notamment sur la sécurité du réseau : « networks should be managed and controlled to protect information in systems and applications », « groups of information services, users and information systems should be segregated on networks »

• Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées : on ne parle pas de surveillance et de corrélation des évènements de sécurité (logique SOC), de sécurisation de l’administration, de sécurisation des accès à l’entreprise, notamment depuis Internet, des dispositifs de réaction en cas de cyber-attaques (logique CERT)…

• Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte : ni le cloud, ni la virtualisation ne sont abordés

On pourra arguer que la famille ISO 27xxx se complète avec des normes spécifiques (cloud computing, surveillance sécurité, etc.), mais il n’en reste pas moins que ce soit gênant si on considère que l’ISO 27002 reste le référentiel le plus générique et le plus utilisé pour la sécurité du SI.

A noter que la norme ISO 27001:2013 appuie sur le fait de compléter la Déclaration d’Applicabilité avec des mesures qui ne sont pas présentes dans l’ISO 27002, ce qui permet de pallier certains manques.

Une norme qui reste « l’esperanto » de la sécurité

La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre.

Sa stabilité dans le temps et son caractère « indépendant des technologies » devrait, malgré ces quelques défauts, lui garantir le même succès dans la durée.

Cet article ISO 27002 : tour d’horizon des nouveautés est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.